EN

Draytek Vigor İle FortiGate Arasında VPN Nasıl Yapılır?

26 Aralık 2017

Fortigate Vigor Modem Arasında Ipsec VPN

Bu makalede FortiGate Firewall ve Drytek Vigor Modem arasında IPSec VPN tünel konfigürasyon anlatmaktadır.

Fortigate IPSec VPN Konfigürasyon

“VPN” sekmesi içinde bulunan “IPsec Tunnels” seçeneğine altında bulunan sayfada “Create New” ile yeni bir ipsec vpn oluşturulur.

 

Açılan sayfada vpn için bir isim belirleyip “Template Type” olarak “Custom” ile devam ediyoruz.

 

Gelen sayfanın “Network” konfigürasyon kısmında “IP Address(0.0.0.0)” bölümünü vpn yapmak istediğimiz lokasyonun public ipsini yazıyoruz. “Interface” bölümünde ise bizim internetimizin bağlı olduğu interfacemizi seçiyoruz. “NAT Traversal” “Enable”,“Dead Peer Detection” “On Demand” olmalı. “Authentication” kısmında “Pre-shared key” bölümüne her iki cihazda da gireceğimiz kendi belirlediğimiz en az 6 karakterli bir key giriyoruz. “Mode”,“Aggressive”seçilmeli. “Accept Types” “Any Peed ID” olarak bırakılmalıdır.

 

 

“Phase 1 Proposal” ayarlarında “Encryption” olarak “3DES – SHA1 ve 3DES – MD5”,”Diffie – Helman Group” “2” ve “Key Lifetime(seconds)” “28800” olarak ayarlanmalı.

“XAUTH” “Disabled” kalmalı. “Local Address” bölümünde Fortigate üzerin de vpn için kullanılacak adres bloğunu,”Remote Address” bölümünde ise “Vigor” üzerinde vpn için kullanılacak adres bloğunuz yazmamız gerekiyor. “Advanced” ile Phase 2 ayarlarının geri kalan kısmını yapabiliriz.

Temel faz 2 ayarları IPSec faz 2 parametrelerini faz 1 konfgürasyonu ile birleştirir ve VPN tünelin uzak uç noktasını belirler.

“Phase 2 Proposal” kısmında “Encryption” olarak “3DES – SHA1 ve 3DES – MD5” olarak ayarlanmalı.

“Enable Replay Detection” ve “Enable Perfect Forward Secrecy(PFS)” disable olmalı.Seconds 3600 olarak ayarlanmalı.

Vpn ayarlarından sonra static route ve policy yazmamız gerekiyor.

“Network Static Routes” “Create New” ile yeni bir route oluşturuyoruz.

“Destination” kısmını Vigor arkasında ki ip bloğu ile dolduruyoruz(Örnek; 192.168.13.0/24).

“Device” kısmında ise oluşturmuş olduğumuz vpn’i seçiyoruz.

 

Sırada adres tanımlamaları var.

“Policy & Objects -> Address” “Create New” ile yeni bir adres oluşturabiliriz.

“Subnet/IP Range” vpn ile erişmek istediğimiz ip/ip bloğunu yazıyoruz.

 

“Subnet/IP Range” Fortigate’ye bağlı olan ip/ip bloğunu yazıyoruz.

 

Bütün ayarlarımızdan sonra vpn için policy oluşturabiliriz.

“Policy Objects IPv4” “Create New” ile yeni bir policy oluşturabiliriz.

Fortigate üzerinde tanımlı networkün vpn’e erişmesi için yazılacak policy:

“Incoming Interface” vpn içine giren networkün bağlı olduğu interface.

“Outgoing Interface” vpn’i seçiyoruz.

“Source” bu kısımda Internal Interface bağlı olan network adresi/adresleri seçilir. “All” da seçilebilir ya da adres oluşturup oluşturduğumuz adreside(local_network) seçebiliriz.

“Destination” bu kısımda “All” da seçilebilir ya da adres oluşturup oluşturduğumuz adreside(remote_network) seçebiliriz.

“Action” kısmında “ACCEPT” seçilir.

 OK” ile policy tamamlanır.

“NAT” disable olmalı.

Vpn üzerinden gelen networkün Fortigate’ye erişmesi için yazılacak policy:

“Incoming Interface” vpn’i seçiyoruz.

“Outgoing Interface” vpn içine giren networkün bağlı olduğu interface.

“Source” bu kısımda Internal Interface bağlı olan network adresi/adresleri seçilir. “All” da seçilebilir ya da adres oluşturup oluşturduğumuz adreside(remote_network) seçebiliriz.

“Destination” bu kısımda “All” da seçilebilir ya da adres oluşturup oluşturduğumuz adreside(local_network) seçebiliriz.

“Action” kısmında “ACCEPT” seçilir.

 OK” ile policy tamamlanır.

“NAT” disable olmalı.

Drytek Vigor Konfigürasyonu:

Web arayüzüne girdikten sonra;

“VPN and Remote Access -> Lan to Lan” sekmesine geliyoruz.

Farketmeksizin 32 sayıdan herhangi birine tıklıyoruz.

1.Common Settings ;“Profile Name” kısmında vpn’e isim veriyoruz. Hemen altında bulunan “Enable this profile” kutucuğunu işaretliyoruz. “Call Direction” “Dial-out” ve “Always on” kutucuğu işaretli olmalıdır.

2.Dial-Out Settings;IPsec Tunnel kutucuğunu işaretleyip “Server IP/Host Name for VPN” kısmına ise Fortigate’nin public ipsini yazıyoruz. “IKE Pre-Shared Key” kısmını Fortigate’ye yazdığımız pre-shared key’i giriyoruz. IPsec Security Method’u “High(ESP)” olarak işaretleyip “3DES with Authentication” seçiyoruz. “Advanced” ile diğer ayarlarını yapıyoruz. Açılan sayfada “Aggressive mode” seçiyoruz.

 

3. Dial-In Settings;Kısmında değişiklik yapmaya gerek yok.

4.TCP/IP Network Settings;”My WAN IP” ve “Remote Gateway IP” kısımlarında değişiklik yapmaya gerek yok. “Remote Network IP” kısmında ise Fortigate arkasında bulunan local ip bloğunu yazıyoruz(örneğin:192.168.13.0). “Remote Network Mask” kısmında ise  Fortigate arkasında bulunan local ip bloğun netmaskını yazıyoruz(255.255.255.0). “Local Network IP” kısmında ise Vigor arkasında bulunan local ip bloğunu yazıyoruz(örneğin:192.168.25.0). “Remote Network Mask” kısmında ise  Vigor arkasında bulunan local ip bloğun netmaskını yazıyoruz(255.255.255.0)

 

“VPN and Remote Access Connection Management” sekmesinde vpnlerin durumu izlenebilir.

Penetrasyon Testi

Sızma testlerinde siber suçluların gerçek dünyada kullandığı yöntemler kullanılarak bir kurumun bilişim altyapısına sızılmaya ve ele geçirilmeye çalışılır.

Penetrasyon Testi Paketlerimiz
Penetrasyon Testi Paketlerimiz
Dışarıdan Penetrasyon Testi Pentest RemoteShell, BeyazNet Pentest Standart Pentest Exploit One, BeyazNet Pentest Pro Pentest Injection Plus, BeyazNet Pentest Pro Plus Pentest ZeroDay Enterprise
Farklılıklarımız
Farklılıklarımız
Alanında lider lisanslı test araçları (Acunetix, NetSparker, Nexpose, BurpSuite, Nessus vb.), DB Vulnerability Scanner ürünü ile veri tabanlarının içerden taranması, DNS Firewall ile DNS trafiği izlenerek zararlı yazılım bulaşmış makinaların tespiti
BeyazNet Pentest Hizmetimiz
BeyazNet Pentest Hizmetimiz
Firmamızın uzman ve sertifikalı ekibi detaylı incelemeler yaparak ağ, sistem ve yazılım katmanındaki zayıflıkları maksimum seviyede tespit etmektedir
Penetrasyon Testi
Göç'e Hazır mısınız?

Tüm alışkanlıklarımızdan, tüm bağımlılıklarımızdan, tüm sıkıntılarımızdan, daha güvenli özgür yazılımlara göç etmek için yanınızdayız.

Planlama neden çok önemli?
Planlama neden çok önemli?
Linux sistemler, Windows'tan çok farklı olduğu için ancak sağlıklı bir planlama ile göç mümkündür.
Güncelleme ve Şifre Sunucusu
Güncelleme ve Şifre Sunucusu
Göç için kurduğumuz sunucular sayesinde işletim sistemleri güncel ve güvenli kalıyor.
Linux Göç
Geçmişe dair kuşkularınız mı var?

TaliaStamp kullanarak, geçmişte edindiğiniz belgeleri damgalayabilir, böylece varlıklarını hukuki olarak garanti altına alabilirsiniz. Damgalayarak sunduğunuz belgenin inkar edilmesi halinde, bu belgenin en azından damgalandığı zamanda var olması sebebiyle belgenin geçmiş zamanda varlığını kanıtlayabilirsiniz.

TaliaStamp
TaliaBee ile cihazlarınıza hükmedin

Kullanıcı dostu bir arayüz ve diğer uygulamalarla iletişim kurabilme desteği sağlayan TaliaBee, sizin olmadığınız ortamlarda uzaktan kontrol edilebilir çıkışları sayesinde elleriniz, sensör bağlayabileceğiniz girişleri sayesinde duyularınız olur.

TaliaBee
İnternet Kontrol Altında

TaliaLog kullanarak, internet paylaşımına dair yasanın gerektirdiği kayıtları tutabilir ve internet erişiminizi istediğiniz kişilerle rahatça paylaşabilirsiniz. İnternetinizi paylaştığınız kişiler, erişim bilgileri ile kayıt altına alınır.

TaliaLog